BT Güvenliğinde İnsan Faktörü: Çalışanlar Şirketleri Nasıl Savunmasız Kılıyor adlı yeni bir rapora göre dünya çapındaki şirketlerin %40’ında, çalışanlar siber güvenlik kazalarını saklıyor.
Türkiye’de ise bu oran %45; yani dünya ortalamasının üzerinde seyrediyor. Ayrıca her yıl siber güvenlik kazalarının %46’sına çalışanlar sebep oluyor ve dolayısıyla şirketlerin bu zayıf noktasının sadece BT güvenliği departmanlarınca değil, birçok seviyede ele alınması önem taşıyor.
Siber suçlulara davetiye çıkarıyorlar
Zararlı yazılımlardan sonra, bir siber güvenlik olayının en muhtemel ikinci sebebi bilgisiz veya dikkatsiz çalışanlar oluyor. Zararlı yazılımlar her geçen gün daha da karmaşık hale geliyor olsa da, her zaman var olan insan faktörü aslında daha büyük tehlikeler içerebiliyor.
Hedefli saldırılar söz konusu olduğunda, kurumların siber güvenlik kalkanındaki en zayıf noktayı çalışan dikkatsizliği oluşturuyor. Saldırganlar özel yapım zararlı yazılımlar ve yüksek teknoloji içeren teknikler kullansa da, başlangıç noktaları, faydalanması en kolay giriş noktası oluyor; yani insan tabiatı.
Yapılan araştırmaya göre, geçtiğimiz yıl içerisinde gerçekleşen her 3 hedefli saldırıdan birinin (%28) başlangıç noktası oltalama/sosyal mühendislik oldu. Örneğin dikkatsiz bir muhasebeci, iş ortaklarından birinden gelen bir fatura görünümünde gizlenen zararlı yazılımı tereddüt etmeden açabiliyor. Böyle bir durumda bütün bir şirketin altyapısı çalışmaz hale geliyor ve muhasebeci de ister istemez saldırganların suç ortağı durumuna düşüyor.
Hedefli saldırılar şirketlerin her gün başına gelen şeyler olmasa da, zararlı yazılımlar genelde geniş kitleleri hedefliyor. Araştırmaya göre, ne yazık ki zararlı yazılımlar söz konusu olduğunda da bilinçsiz ve dikkatsiz çalışanların etkisi büyük oluyor. Karşılaşılan olayların %59’unda zararlı yazılımların bulaşmasının sebebi çalışanlar.
İK ve üst yönetime düşen görev büyük
Çalışanların müdahil oldukları olayları saklaması daha da kötü sonuçlar doğurarak, toplam zararı artırabiliyor. Tek bir bildirilmemiş olay bile çok daha büyük bir saldırının işareti olabilirken, doğru müdahale yöntemlerini seçmesi gereken güvenlik ekiplerinin ise karşı karşıya oldukları tehditleri hızlıca tespit etmesi gerekiyor.
Fakat cezalandırılmaktan korkan veya yanlış bir şey yapmış olmaktan utanan çalışanlar, bir sorun bildirmektense şirketlerini riske atmayı tercih edebiliyor. Bazı şirketler ise çalışanlarını uyanık ve işbirlikçi olmaya teşvik etmektense, çok katı kurallar koyup çalışanların üzerine ek sorumluluklar yüklüyor. Bu, siber korunmanın sadece bir teknoloji meselesi değil; aynı zamanda bir şirketin kültürüyle ve eğitimle ilgilisi olan bir konu olduğu anlamına geliyor. Bu noktada da üst yönetime ve insan kaynakları departmanına önemli bir rol düşüyor.
İnsan faktörü: Kurumsal iklim ve ötesi
Türkiye çapında birçok şirket, çalışanlarının şirketleri için bir zayıf nokta oluşturduğunun farkına varmaya başlamış durumda: araştırmaya katılan şirketlerin %52’si, BT güvenliği konusunda en zayıf noktanın çalışanları olduğunu kabul ediyor. Birçoğu için çalışan odaklı önemler almanın gerekliliği de aşikar: şirketlerin %39’u çalışanlarını eğiterek güvenliklerini iyileştirmenin yollarını arıyor. Bu, şirketlerin %50’si için daha sofistike yazılımlar kullanmaktan hemen sonra gelerek, Türkiye’deki ikinci en popüler siber korunma yöntemi olarak karşımıza çıkıyor.
Şirketleri insan sebepli siber tehditlerden korumanın en iyi yolu, doğru araçlarla doğru pratikleri birleştirmekten geçiyor. Buna İK ve üst yönetimin, çalışanları dikkatli olmak ve bir olay halinde yardım istemek konusunda teşvik etmeleri de dahil. Şirketlerin bu konuda atması gereken ilk adımlar arasında, çalışanlara güvenlik farkındalığı eğitimleri vermek, birçok sayfa içeren dokümanlar yerine kısa ve net ilkeler sunmak, çalışanların yeteneklerini ve motivasyonlarını artırmak ve uygun bir çalışma ortamı sağlamak sayılabilir.
Güvenlik teknolojileri özelinde bakıldığında, bilinçsiz veya dikkatsiz çalışanları hedef alan tehditlerin bir çoğunu (oltalama da dahil) uç nokta güvenlik çözümleriyle ortadan kaldırmak mümkündür. Bunlar fonksiyonellikleri, ön ayarlı koruma ya da gelişmiş güvenlik ayarları doğrultusunda KOBİ’lerin ve büyük ölçekli şirketlerin ihtiyaçlarını karşılayarak riskleri en aza indirgemek konusunda yeterlidir.
